Anwendungen
API-Schnittstellen
Mittels APIs werden oft sensitive Daten abgefragt und Prozesse gestartet, welche es vor Angriffen abzusichern gilt.
Prüfumfang des Pentests
Bei diesem Penetrationstest untersuchen unsere Ethical Hacker Ihre API auf Sicherheitsschwachstellen und Konfigurationsfehler.
Der Test kann bei Ihnen vor Ort oder von Remote aus stattfinden.
Beispielhafte Prüfobjekte:
REST
Wir nutzen Postman und Swagger Collections, um typische Anfragen Ihrer API zu aggregieren und anschließend auf Schwachstellen zu prüfen.
SOAP
Wir importieren Ihr WSDL Datenmodell, um anschließend eine Schwachstellenanalyse durchzuführen.
Das Forschungsunternehmen Gartner sagt voraus, dass sich bis 2022 API-Angriffe zu den meist durchgeführten Angriffen entwickeln. ¹
Ein durchschnittliches Unternehmen verwaltet etwa 360 APIs. API Sicherheit ist daher ein wichtiger Risikofaktor. ²
Penetrationstest von
API-Schnittstellen
Unser Vorgehen
Moderne Anwendungen werden stets komplexer und durch die verschiedensten API-Schnittstellen erweitert, um Daten und Inhalte von überall abrufen bzw. erzeugen zu können. APIs sind folglich ein kritischer Bestandteil moderner Mobil-, SaaS- und Webanwendungen und können in den unterschiedlichsten Bereichen wie dem Bankwesen, Einzelhandel oder Internet of Things (IoT) vorgefunden werden. Die Wichtigkeit der Bereitstellung einer konsequenten Anwendungssicherheit nimmt stetig zu, da APIs oftmals das Ziel von Hackerangriffen werden. Hierbei wird versucht, sensitive Daten wie Passwörter oder personenbezogene Daten zu stehlen.
Mit der Beauftragung eines API Penetrationstests unterziehen wir die mit Ihnen im Projektumfang definierten API-Schnittstellen (z.B. SOAP oder REST) einer umfassenden Sicherheitsanalyse auf Netzwerk- und Anwendungsebene. Anhand der OWASP API Security Top 10 überprüfen wir Ihre API-Schnittstelle auf bekannte Schwachstellen und helfen Ihnen dabei, Ihre API vor unbefugten Zugriffen zu schützen.
Unsere Tests auf Netzwerkebene beinhalten einen automatisierten Schwachstellenscan sowie eine manuelle Analyse aller von der API bereitgestellten Netzwerkdienste aus der Perspektive eines externen Angreifers (black-box). Die Tests auf Anwendungsebene werden hingegen mit einem semi-manuellen Ansatz sowie ohne gültige Nutzerzugangsdaten (grey-box) durchgeführt.
Alle zu untersuchenden API-Schnittstellen werden selbstverständlich im Vorfeld mit Ihnen abgestimmt. Bei der anschließenden Sicherheitsanalyse kommen bspw. konkret Tests der Authentifizierungsverfahren, des Datenmodells oder eine Prüfung auf schwache Kryptographie zum Einsatz. Bei Interesse fragen Sie uns gerne an oder erstellen Sie sich ein unverbindliches Angebot über unseren Konfigurator.
Testarten
Black-Box
Test als externer Angreifer ohne Zusatzinformationen
Grey-Box
Test mit validen Zugangsdaten
White-Box
Test mit Zugangsdaten und Einsicht in den Quellcode
Standards und Qualifikationen
Wir berücksichtigen bei unseren Pentests alle internationalen und anerkannten Standards.
Unsere Penetrationstester sind hochqualifiziert und besitzen eine Vielzahl anerkannter Hacking-Zertifikate.
